Potenziate le funzionalità che comprendono il furto del sistema 2FA e le funzionalità RAT

GravityRAT aggiunge Android alla lista degli obiettivi

A partire da luglio 2020 gli esperti di Kaspersky hanno seguito con attenzione il ritorno di Cerberus, il malware bancario per Android, dopo che lo sviluppatore originario aveva abbandonato il progetto in seguito al tentativo venderlo. Ora, il codice sorgente di Cerberus è stato diffuso su alcuni forum underground ed è disponibile per i criminali informatici in modo gratuito.

Il potenziamento delle funzionalità di Cerberus, che comprendono ora il furto del sistema di autenticazione a due fattori (2FA) e le funzionalità RAT (Remote Access Tool), ha provocato un aumento del tasso di infezioni, soprattutto in Russia e in Europa.

Cerberus è un sofisticato malware bancario per Android, rilevato inizialmente nell’estate del 2019 e distribuito attivamente su base MaaS (Malware-as-a-Service) in vari forum underground. La recente diffusione del codice sorgente, noto come Cerberus v2, ha offerto nuove opportunità ai criminali informatici che prendono di mira il settore bancario attraverso i dispositivi Android.

Nonostante gli sviluppatori di lingua russa di Cerberus avessero deciso di rilanciare il progetto nell’aprile di quest’anno, lo scioglimento del team che aveva sviluppato il malware ha dato il via, a fine luglio, all’avvio di alcune aste per aggiudicarsi il codice sorgente. Per cause sconosciute, l’autore ha successivamente deciso di pubblicare il codice sorgente del progetto per gli utenti premium di un popolare forum underground di lingua russa. La possibilità per i criminali informatici di acquisire il malware gratuitamente ha provocato un improvviso aumento delle infezioni delle applicazioni per mobile e dei tentativi di sottrarre del denaro agli utenti in Russia e in tutta Europa. Sin dal primo monitoraggio dell’attività del malware nel 2019, le funzionalità di Cerberus sono state perfezionate, proprio come era già avvenuto per Anubis, un altro esempio di malware bancario per Android che è stato reso pubblico alla fine del 2019 ai danni di banche e correntisti.

Dopo essere venuto in possesso dell’archivio pubblico che conteneva il codice sorgente, Kaspersky sta conducendo ulteriori indagini su “v2”. L’analisi approfondita dell’infrastruttura ha già evidenziato la capacità del malware di inviare e sottrarre codici SMS, di creare overlay personalizzati per diverse banche online e di rubare codici 2FA anche da Google Authenticator. Ulteriori funzionalità aggiuntive permettono al malware di accedere ai dettagli della carta di credito e ai contatti dell’utente, di reindirizzare le chiamate o di interferire con la funzionalità mobile attraverso la funzionalità RAT, e di concedere automaticamente le autorizzazioni richieste come parte dei propri privilegi di autenticazione.

Tuttavia questa è solo una parte di ciò che può fare proprio per questo è molto importante che gli utenti adottino azioni preventive per contrastare la minaccia.

“Cerberus è ancora operativo. Le scoperte di Kaspersky su Cerberus v2 sono un monito per coloro che lavorano per garantire la sicurezza di Android, in particolare nel settore bancario. Da quando è stato pubblicato il codice sorgente, abbiamo già rilevato un aumento degli attacchi rivolti agli utenti. Non è la prima volta che rileviamo una cosa simile, ma l’incremento dell’attività cominciato quando gli sviluppatori hanno abbandonato il progetto è lo sviluppo più notevole osservato nell’ultimo periodo. Continueremo ad analizzare tutti gli artefatti associati al codice e tracceremo le attività correlate, ma nel frattempo la miglior arma di difesa per gli utenti è quella di adottare di comportamenti corretti nell’utilizzo dei loro dispositivi mobili e dei servizi bancari”, ha dichiarato Dmitry Galov, Security Researcher di Kaspersky.

Kaspersky raccomanda agli utenti che fanno uso del mobile banking di:

  • Scaricare e installare applicazioni solo da app store ufficiali come Google Play per i dispositivi Android o nell’App Store per iOS.
  • Disattivare l’installazione di programmi da fonti sconosciute nelle impostazioni dello smartphone.
  • Non eseguire mai il “root” dei dispositivi poiché offre ai criminali informatici numerose possibilità di attacco.
  • Installare tempestivamente gli aggiornamenti del sistema e delle applicazioni per correggere le vulnerabilità di sicurezza. Non scaricare gli aggiornamenti del sistema operativo mobile da risorse esterne.
  • Proteggere i dati finanziari e le informazioni personali
  • Utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud per difendersi da un’ampia gamma di minacce.

Maggiori informazioni su Cerberus sono disponibili su Securelist.